Đang tải... (xem toàn văn)
Có hàng trăm các ứng dụng Linux trên thị trường, mỗi với các tập tin cấu hình riêng của họ và các trang trợ giúp. Sự đa dạng này làm cho Linux sôi động, nhưng nó cũng làm cho khó khăn Linux hệ thống hành chính. May mắn thay, trong nhiều trường hợp, các ứng dụng Linux sử dụng các tiện ích syslog để xuất khẩu tất cả các lỗi của họ và thông điệp tình trạng để các tập tin nằm trong thư mục log var.Điều này rất quan trọng trong mối tương quan giữa thời gian và nguyên nhân của các sự kiện có liên quan trên hệ thống của bạn. Nó cũng quan trọng để biết rằng các ứng dụng thường không hiển thị lỗi trên màn hình, nhưng thường sẽ đăng chúng ở đâu đó. Biết được thông báo chính xác mà đi kèm với một lỗi có thể rất quan trọng trong nghiên cứu trục trặc trong hướng dẫn sử dụng sản phẩm, tài liệu trực tuyến, và tìm kiếm Web.Syslog, và các tiện ích logrotate sẽ xóa sạch các file log tương đối dễ dàng để cấu hình nhưng thường không nhận được chia sẻ nó bao phủ ở hầu hết các văn bản. Syslog ở đây như là một chương dành riêng nhằm nhấn mạnh tầm quan trọng của nó về Linux của bạn và chuẩn bị cho bạn một kỹ năng tuyệt vời sẽ giúp bạn khắc phục tất cả các Linux và ứng dụng khác nhau.
MỤC LỤC GIỚI THIỆU Có hàng trăm ứng dụng Linux thị trường, với tập tin cấu hình riêng họ trang trợ giúp Sự đa dạng làm cho Linux sôi động, làm cho khó khăn Linux hệ thống hành May mắn thay, nhiều trường hợp, ứng dụng Linux sử dụng tiện ích syslog để xuất tất lỗi họ thông điệp tình trạng để tập tin nằm thư mục / log / var Điều quan trọng mối tương quan thời gian nguyên nhân kiện có liên quan hệ thống bạn Nó quan trọng để biết ứng dụng thường không hiển thị lỗi hình, thường đăng chúng Biết thông báo xác mà kèm với lỗi quan trọng nghiên cứu trục trặc hướng dẫn sử dụng sản phẩm, tài liệu trực tuyến, tìm kiếm Web Syslog, tiện ích logrotate xóa file log tương đối dễ dàng để cấu hình thường không nhận chia sẻ bao phủ hầu hết văn Syslog chương dành riêng nhằm nhấn mạnh tầm quan trọng Linux bạn chuẩn bị cho bạn kỹ tuyệt vời giúp bạn khắc phục tất Linux ứng dụng khác CHƯƠNG I CÁC KHÁI NIỆM VỀ LOG TRONG LINUX 1.1 Tổng quan logfile Log File: Đây tập tin tạo máy chủ web máy chủ proxy có chứa tất thông tin hoạt động máy chủ đó, thông tin người truy cập, thời gian khách viếng thăm, địa IP… Log file có nhiều tác dụng webmaster phân tích xem người truy cập vào phần trang web nhiều chuyển sang xem mục trang web… 1.1.1 Khái niệm syslog Nhiều kiện xảy hệ thống Linux bạn nên log lại cho mục đích quản trị Linux sử dụng hệ thống syslogd để hiển thị lưu thông tin miêu tả kiện Hệ thống cho phép kiểm soát chặt chẽ logging messages từ kernel, từ tiến trình chạy hệ thống, hệ thống từ xa Thông báo hiển thị console, log files hình text người dùng hệ thống khái niệm syslog: - Facility: Facility giúp kiểm soát log đến dựa vào nguồn gốc quy định ứng dụng hay tiến trình Syslog sử dụng facility để quy hoạch lại log coi facility đại diện cho đối tượng tạo thông báo (kernel, process, apps,…) - Priority (level): Mức độ quan trọng log message định - Selector: Sự kết hợp facility level (facility.level), tức event xảy xem có match selector hay không, có hành động (action) tương ứng cấu hình thực thi - Action: Đại diện cho địa message tương ứng với facility.level.action tên file, hostname đứng trước ký tự @, danh sách người dung ngăn cách dấu phẩy, dấu * 1.1.1.1 Syslog Facilities Các loại facility sử dụng quy định hệ thống Linux auth: sử dụng cho kiện bảo mật authpriv: thông báo liên quan đến kiểm soát truy cập bảo mật cron: cron daemon daemon: sử dụng tiến trình hệ thống daemons khác kern: thông báo từ kernel lpr: hệ thống in ấn mark: thông báo generated thân syslogd Nó chứa biến timestamp chuỗi " MARK " • news: hệ thống tin tức • syslog: thông báo generated thân syslogd • user: thông báo cấp người dùng chung • • • • • • • • • uucp: hệ thống UUCP local0 to local7: dự trữ cho sử dụng nội Việc sử dụng facility cho phép bạn kiểm soát địa đến message dựa nguồn gốc 1.1.1.2 Syslog Priority Các mức độ ưu tiên Syslog • • • • • • • • debug: messages chế độ debug info: messages mang thông tin notice: messages mang tính chất thông báo warning (hoặc warn): messages cảnh báo err (hoặc error): messages lỗi crit: messages nguy hiểm alert: messages hành động phải thực emerg (hoặc panic): messages hệ thống dùng Ngoài mức đặc biệt gọi none, mức disable facility Level định nghĩa số lượng ghi chi tiết log file Dấu [*] sử dụng để miêu tả cho tất facilities tất levels 1.1.2 Khái niệm Log File Rotation Phần lớn phân phối cài đặt cấu hình syslog mặc định cho hệ thống, bao gồm logging to messages log file khác thư mục /var/log Để ngăn cản file ngày lớn trở nên cồng kềnh làm đầy ổ cứng gây ảnh hưởng đến dịch vụ khác chạy Một hệ thống xoay vòng log (log rotation) nên cài đặt Hệ thống cron đưa lệnh để thiết lập log files mới, log file cũ đổi tên cách thay số hậu tố Ví dụ có xoay vòng log xảy file /var/log/messages chuyển thành /var/log/messages.1 hệ thống tạo file /var/log/mesages Sự xoay vòng cấu hình cho số lượng lớn file Tùy theo cấu hình mà file lưu lại cũ server trước bị xóa Tiện ích thi hành rotation logrotate Lệnh cấu hình sử dụng cho nhiều files - xác định tham số File cấu hình mặc định /etc/logrotate.conf Có hai kiểu xoay vòng log thường sử dụng: • • Xoay vòng log theo dung lượng file Xoay vòng log theo thời gian Mỗi kiểu có ưu nhược điểm riêng Tùy thuộc vào đặc điểm hệ thống mà ta chọn kiểu xoay vòng log thích hợp Để cấu hình xoay vòng log cho dịch vụ ta đặt file cấu hình xoay vòng log thư mục /etc/logrotate.d 1.1.3 Khái niệm Examining Log Files Bạn học nhiều cách hoạt động hệ thống cách xem lại log files tạo Một lúc cần thiết để gỡ rối vấn đề gặp phải từ thông tin logged Phần lớn log files có dạng plain text, dễ dàng để xem lại với vài lệnh như: tail, less, grep Một dòng thông báo log tạo với thông tin sau, ngăn cách khoảng trắng (space) • • • • Date/time Origin hostname Message sender Message text 1.1.4 Khái niệm Logging syslog Messages to a Remote Linux Server Việc logging thông báo hệ thống đến remote server cách bảo mật tốt Thuận lợi việc này: - Tập trung log files server trung tâm - Kiểm soát lỗi hành động nguy hiểm cách tốt - Hành động xóa log files kẻ xấu xảy lúc bạn ngăn cản user truy cập đến logging server 1.1.5 Khái niệm Syslog-ng Syslog-ng ứng dụng tổ hợp tính logrotate syslog, cho phép tùy biến dễ dàng, giàu tính Ưu điểm: + Logging đáng tin cậy truyền qua TCP + Không có quay vòng log files mà chúng lưu theo vị trí mặc định + Cải thiện log entries CHƯƠNG II CẤU HÌNH SYSLOG TRONG LINUX 2.1 Cấu hình Syslogd Ví dụ, để theo dõi daemon bạn thêm dòng vào /etc/syslog.conf sau: Code: # Define a new log file for daemon facility daemon.* Bạn Code: cần /var/log/daemon.log restart syslog để thay đổi có hiệu $ sudo /sbin/service syslog restart Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting system logger: [ OK ] Starting kernel logger: [ OK ] Tiếp theo bạn cần reboot để daemon.log tạo /var/log Để test, bạn sử dụng tiện ích logger để gửi messages đến facility shell script: Code: $ logger -p daemon.notice "Anh yeu em" Thông báo "This is a notice" xuất /var/log/daemon.log lực: 2.2 Cấu hình Log File Rotation Lệnh cấu hình sử dụng cho nhiều files - xác định tham số File cấu hình mặc định /etc/logrotate.conf Code: Trong ví dụ này, bạn thấy: Hệ thống quay vòng log files hàng tuần Lưu lại thông tin logs đáng giá tuần Sử dụng định dạng Ngày tháng thêm vào để làm hậu tố log files (20071111, 20071118, ) Thông tin /etc/logrotate.d quay vòng log gói RPM nằm Rotation thiết lập cho files: /var/log/wtmp /var/log/btmp Ví dụ: Cấu hình xoay vòng log cho log web server apache ta làm sau Tạo file cấu hình cấu hình xoay vòng log /etc/logrotate.d/httpd Thêm phần cấu hình bên vào file cấu hình Size 70M: hệ thống xoay vòng log dung lượng file log lớn 70M Tại cấu hình xoay vòng log dựa thời gian cách dùng thị sau (daily, weekly, monthly) Để xoay vòng log theo ngày, tuần tháng Compress: nén file log cũ theo chuẩn gzip Mục đích giảm không gian đĩa cứng Dateext: ngày thêm vào tên file Rotate 7: hệ thống lưu giữ file log server Các file cũ xóa bỏ khỏi hệ thống Misingok: hệ thống không tạo lỗi Nếu tập tin không tìm thấy Sharedscripts: chạy script trước (prerotate) sau (postrotate) xoay vòng cho file log 2.3 Cấu hình Examining Log Files Một đoạn messages điển sau Trong trường hợp này, hostname t36 messages đến từ dịch vụ Bất lúc bạn xem lại nội dung log files bạn cách dùng less Code: $ less /var/log/messages tail Code: $ tail -f /var/log/messages Để tìm kiếm thông báo xác định mouse, bạn dùng grep Code: # grep '[Mm]ouse' /var/log/messages Dec 00:15:28 smp kernel: Detected PS/2 Mouse Port Dec 10:55:02 smp gpm: Shutting down gpm mouse services: Thông thường, bạn sử dụng grep để tìm kiếm item đặc biệt /var/log/messages, bạn cần phải tìm kiếm tất rotated files với wildcard (tạm dịch: ký tự đại diện) Chẳng hạn, để tìm kiếm tất messages từ sendmail bạn cần: Code: # grep 'sendmail:' /var/log/messages* Khi bạn xác định vấn đề từ log files, nhìn vào hostname sender đầu tiên, sau messages text Trong nhiều trường hợp bạn xác định sai từ thông báo Thi thoảng, thông báo lỗi đầu mối, việc xem lại toàn logs bạn cần thiết Trong trường hợp này, hữu ích bạn tạm thời thay đổi level /etc/syslog.conf thành debug để log lại nhiều thông tin giúp bạn giải vấn đề 2.4 Cấu hình Logging syslog Messages to a Remote Linux Server Cấu hình syslog cho server Theo mặc định syslog không nhận thông báo từ remote clients Để làm điều bạn cần chỉnh /etc/sysconfig/syslog thêm tuỳ chọn -r vào cuối tham số SYSLOGD_OPTIONS Nếu server bạn có dùng iptables, chắn cổng 514 cho UDP mở: 10 -A RH-Firewall-1-INPUT -m state state NEW -m udp -p udp dport 514 -j ACCEPT Nhớ restart iptables: Code: # /sbin/service iptables restart Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: filter [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: [ OK ] Loading additional iptables modules: ip_conntrack_netbios_n[ OK ] ntrack_ftp Cấu hình cho client Syslog server nhận syslog messages Ở client, bạn phải cấu hình để gửi messages đến Để thực điều bạn cần sửa /etc/syslog.conf sau: Code: *.debug @192.168.1.3 *.debug /var/log/messages Từ bây giờ, tất messages có level debug cao log server 172.16.1.1 local (/var/log/messages) Hãy nhớ cần restart lại syslog Code: $ sudo /sbin/service syslog restart Password: Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting system logger: [ OK ] Starting kernel logger: [ OK ] 11 Test: Trên client, bạn thử: Code: $ sudo /sbin/service openvpn stop Shutting down openvpn: [ OK ] Trên server, kiểm tra xem nhận syslog messages chưa: Code: # tail /var/log/messages Dec 21:31:13 192.168.1.2 localhost openvpn[4507]: TCP/UDP: Closing socket Dec 21:31:13 192.168.1.2 localhost openvpn[4507]: SIGTERM[hard,] received, process exiting Như vậy, việc gửi logging messages đến remote server thành công 2.5 Cài đặt cấu hình syslog-ng 2.5.1 Cài đặt Cả eventlog syslog-ng bạn download từ website: www.balabit.com Code: # wget http://www.balabit.com/downloads/files/eventlog/0.2/eventlog0.2.5.tar.gz 21:43:01-http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-0.2.5.tar.gz Resolving www.balabit.com 212.92.18.33 Connecting to www.balabit.com|212.92.18.33|:80 connected HTTP request sent, awaiting response 200 OK Length: unspecified [application/octet-stream] Saving to: `eventlog-0.2.5.tar.gz' 12 [ ] 312,164 35.3K/s in 8.6s 21:43:29 (35.3 KB/s) - `eventlog-0.2.5.tar.gz' saved [312164] Code: # wget http://www.balabit.com/downloads/files/syslogng/sources/2.0/src/syslog-ng-2.0.6.tar.gz 21:46:37-http://www.balabit.com/downloads/files/syslogng/sources/2.0/src/syslog-ng-2.0.6.tar.gz Resolving www.balabit.com 212.92.18.33 Connecting to www.balabit.com|212.92.18.33|:80 connected HTTP request sent, awaiting response 200 OK Length: unspecified [application/octet-stream] Saving to: `syslog-ng-2.0.6.tar.gz' [ ] 369,302 15.2K/s in 21s 21:47:00 (17.0 KB/s) - `syslog-ng-2.0.6.tar.gz' saved [369302] Tiến hành cài thư viện glib (nếu chưa có) Code: $ yum -y install glib Cài Code: đặt eventlog # tar -zxvf eventlog-0.2.5.tar.gz # cd eventlog-0.2.5 # /configure # make # make install 13 Gán biến môi trường PKG_CONFIG_PATH Code: # export PKG_CONFIG_PATH=/usr/local/lib/pkgconfig/ Bước tiếp theo, cài syslog-ng Code: # tar -zxvf syslog-ng-2.0.6.tar.gz # cd syslog-ng-2.0.6 # /configure sysconfdir=/etc # make # make install Quá trình cài đặt kết thúc, có file cấu hình mẫu nằm thư mục contrib Code: [root@localhost syslog-ng-2.0.6]# ls contrib aix-packaging init.d.solaris Makefile.in fedora-packaging ng.conf.RedHat hpux-packaging init.d.SunOS init.d.SuSE syslog-ng.conf.HP-UX README relogger.pl init.d.HP-UX lfs-packaging rhel-packaging init.d.RedHat Makefile syslogsyslog-ng.conf.SunOS syslog-ng.vim syslog2ng init.d.RedHat-7.3 Makefile.am syslog-ng.conf.doc Tạo thư mục syslog-ng /etc copy scripts file cấu hình mẫu đến nơi tương ứng (Tuỳ vào Distro bạn dùng mà chọn thư mục thích hợp) Code: # mkdir /etc/syslog-ng # cp contrib/fedora-packaging/syslog-ng.init /etc/init.d/syslog-ng # cp contrib/fedora-packaging/syslog-ng.conf /etc/syslog-ng # cp contrib/fedora-packaging/syslog-ng.sysconfig /etc/sysconfig/syslogng 14 # cp contrib/fedora-packaging/syslog-ng.logrotate /etc/logrotate.d/syslogng Thay đổi quyền cho file /etc/init.d/syslog-ng Code: # chmod 755 /etc/init.d/syslog-ng Lúc bạn cần tìm vị trí syslog-ng cho init.d script trỏ đến Code: # updatedb # locate syslog-ng | grep bin /usr/local/sbin/syslog-ng # vi /etc/init.d/syslog-ng #exec="/sbin/syslog-ng" exec="/usr/local/sbin/syslog-ng" Dừng syslog khởi tạo syslog-ng Code: # service syslog stop # service syslog-ng start Tạo group logs thêm users cần dùng vào Code: # groupadd logs # usermod -G logs root Cấu hình để syslog-ng khởi động lần reboot Code: # chkconfig syslog off # chkconfig syslog-ng on 15 2.5.2 Cấu hình syslog-ng # syslog-ng configuration file # # This should behave pretty much like the original syslog on RedHat But # it could be configured a lot smarter # # See syslog-ng(8) and syslog-ng.conf(5) for more information # # options { sync (0); time_reopen (10); log_fifo_size (1000); use_dns (no); use_fqdn (no); create_dirs (yes); keep_hostname (yes); }; source s_sys { file ("/proc/kmsg" log_prefix("kernel: ")); unix-stream ("/dev/log"); internal(); # udp(ip(0.0.0.0) port(514)); # tcp(ip(0.0.0.0) port(514)); }; destination d_cons { file("/dev/console"); }; destination d_mesg { file("/var/log/messages"); }; destination d_auth { file("/var/log/secure"); }; destination d_mail { file("/var/log/maillog" sync(10)); }; destination d_spol { file("/var/log/spooler"); }; destination d_boot { file("/var/log/boot.log"); }; destination d_cron { file("/var/log/cron"); }; destination d_mlal { usertty("*"); }; #filter f_filter1 { facility(kern); }; filter f_filter2 { level(info emerg) and not facility(mail,authpriv,cron); }; filter f_filter3 { facility(authpriv); }; filter f_filter4 { facility(mail); }; filter f_filter5 { level(emerg); }; filter f_filter6 { facility(uucp) or (facility(news) and level(crit emerg)); }; filter f_filter7 { facility(local7); }; 16 filter f_filter8 { facility(cron); }; #log { source(s_sys); filter(f_filter1); destination(d_cons); }; log { source(s_sys); filter(f_filter2); destination(d_mesg); }; log { source(s_sys); filter(f_filter3); destination(d_auth); }; log { source(s_sys); filter(f_filter4); destination(d_mail); }; log { source(s_sys); filter(f_filter5); destination(d_mlal); }; log { source(s_sys); filter(f_filter6); destination(d_spol); }; log { source(s_sys); filter(f_filter7); destination(d_boot); }; log { source(s_sys); filter(f_filter8); destination(d_cron); }; # vim:set ts=4 sw=4 sts=4 et: Bạn dễ dàng nhận file cấu hình syslog-ng chia thành khối riêng rẽ: options, source, filter, destination, log Ý nghĩa khối sau: • options: nơi chứa tùy chọn toàn cục, tuỳ chọn bị ghi đè (overridden) sections sau • source: chứa nguồn thông báo, là: files, local sockets remote hosts • destination: đích đến thông báo Nó là: files, local sockets remote hosts • filter: chức mạnh linh động syslog-ng Bạn dùng để lọc log messages là: syslogd chuẩn, log level, host names, nội dung tùy ý cụm ký tự hay chuỗi số • log: Khối chứa câu lệnh log, kết nối giữa: source, destination, filter để báo cho syslog-ng biết chúng phải làm Một khối options điển sau: options { sync (0); time_reopen (10); log_fifo_size (1000); use_dns (no); use_fqdn (no); create_dirs (yes); keep_hostname (yes); }; Những lệnh khối options phải sử dụng tuỳ chọn định nghĩa /etc/syslog-ng/syslog-ng.conf Ý nghĩa tham số khối này: 17 sync: Có dòng messages giữ lại hàng đợi output trước ghi đĩa tuỳ chọn ưa thích - điều có nghĩa bạn ghi lại thứ time_reopen: thời gian đợi (tính s) trước kết nối hỏng thực lại log_fifo_size: số dòng thông báo lớn output queue Output queue hiểu tất destinations file use_dns (yes|no): dùng hay không dùng DNS use_fqdn (yes|no): Có dùng tên miền đầy đủ thay tên miền ngắn hay không create_dirs (yes|no): có cho phép tạo thư mục cho file đích hay không keep_hostname (yes|no): Xác định xem có trust hostname log messages hay không Nếu keep_hostname có giá trị yes có hostname message syslog-ng không làm Ngược lại, luôn ghi đè lên thông tin từ nơi nhận message Source, Destination, Filter Statements Phần cấu hình tùy ý Để hiển cặn kẽ thành phần tham số khối bạn cần đọc man syslog-ng.conf Khối log đặt tất chúng (source, filter, destination) nhau: log { source(s_sys); filter(f_filter2); destination(d_mesg); }; Enabling Remote Logging Chúng ta gửi log messages từ remote clients đến server với syslogd Nhưng cách làm không an toàn thông tin bị syslogd truyền UDP packets Đó lý bạn cần cài đặt syslog-ng client hosts Thêm dòng sau vào syslog-ng.conf server phép nhận messages từ remote clients dumps chúng file host source s_remote { tcp(); }; destination d_clients { file("/var/log/HOSTS/$HOST/"); }; log { source(s_remote); destination(d_clients); }; Lúc client host bạn tập hợp tất local messages gửi chúng đến remote server sau: #sample syslog-ng.conf for a remote client 18 source s_local { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel: ")); }; destination d_loghost {tcp("192.168.1.2" port(514));}; log { source(s_local); destination(loghost); }; Hãy nhớ rằng, bạn thay đổi syslog-ng.conf bạn cần khởi động lại syslog-ng: # /etc/init.d/syslog-ng restart Kiểm tra thứ Bây bạn chạy vài phép thử đơn giản server client Thử tạo login session server chạy su hay sudo Sau check /var/log/auth.log Trên client bạn thử chạy lệnh đó, sau kiểm tra xem có thư mục tạo cho remote client /var/log/HOSTS hay không Một cách khác sử dụng lệnh logger: # logger "this is a test" # logger -p auth.debug "this is a test" Lệnh tạo dòng sau logfiles: Apr 16:08:42 localhost.localdomain logger: this is a test 19 [...]... locate syslog-ng | grep bin /usr/local/sbin/syslog-ng # vi /etc/init.d/syslog-ng #exec="/sbin/syslog-ng" exec="/usr/local/sbin/syslog-ng" Dừng syslog và khởi tạo syslog-ng Code: # service syslog stop # service syslog-ng start Tạo một group logs và thêm các users cần dùng vào Code: # groupadd logs # usermod -G logs root Cấu hình để syslog-ng khởi động ở lần reboot tiếp theo Code: # chkconfig syslog off... README relogger.pl init.d.HP-UX lfs-packaging rhel-packaging init.d.RedHat Makefile syslogsyslog-ng.conf.SunOS syslog-ng.vim syslog2ng init.d.RedHat-7.3 Makefile.am syslog-ng.conf.doc Tạo một thư mục syslog-ng trong /etc và copy các scripts và file cấu hình mẫu đến nơi tương ứng (Tuỳ vào Distro bạn đang dùng mà chọn thư mục thích hợp) Code: # mkdir /etc/syslog-ng # cp contrib/fedora-packaging/syslog-ng.init... contrib/fedora-packaging/syslog-ng.init /etc/init.d/syslog-ng # cp contrib/fedora-packaging/syslog-ng.conf /etc/syslog-ng # cp contrib/fedora-packaging/syslog-ng.sysconfig /etc/sysconfig/syslogng 14 # cp contrib/fedora-packaging/syslog-ng.logrotate /etc/logrotate.d/syslogng Thay đổi quyền cho file /etc/init.d/syslog-ng Code: # chmod 755 /etc/init.d/syslog-ng Lúc này bạn cần tìm đúng vị trí của syslog-ng và cho init.d script... process exiting Như vậy, việc gửi logging messages đến remote server đã thành công 2.5 Cài đặt và cấu hình syslog-ng 2.5.1 Cài đặt Cả eventlog và syslog-ng các bạn đều có thể download từ website: www.balabit.com Code: # wget http://www.balabit.com/downloads/files/eventlog/0.2/eventlog0.2.5.tar.gz 21:43:01-http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-0.2.5.tar.gz Resolving www.balabit.com... file ("/proc/kmsg" log_ prefix("kernel: ")); unix-stream ("/dev /log" ); internal(); # udp(ip(0.0.0.0) port(514)); # tcp(ip(0.0.0.0) port(514)); }; destination d_cons { file( "/dev/console"); }; destination d_mesg { file( "/var /log/ messages"); }; destination d_auth { file( "/var /log/ secure"); }; destination d_mail { file( "/var /log/ maillog" sync(10)); }; destination d_spol { file( "/var /log/ spooler"); }; destination... syslog-ng on 15 2.5.2 Cấu hình syslog-ng # syslog-ng configuration file # # This should behave pretty much like the original syslog on RedHat But # it could be configured a lot smarter # # See syslog-ng(8) and syslog-ng.conf(5) for more information # # options { sync (0); time_reopen (10); log_ fifo_size (1000); use_dns (no); use_fqdn (no); create_dirs (yes); keep_hostname (yes); }; source s_sys { file. .. ip_conntrack_netbios_n[ OK ] ntrack_ftp Cấu hình cho client Syslog server đã có thể nhận các syslog messages Ở client, bạn phải cấu hình để gửi messages đến nó Để thực hiện điều này bạn cần sửa /etc/syslog.conf như sau: Code: *.debug @192.168.1.3 *.debug /var /log/ messages Từ bây giờ, tất cả các messages có level là debug hoặc cao hơn đều được log tại server 172.16.1.1 cũng như tại local (/var /log/ messages) Hãy nhớ là... theo, cài syslog-ng Code: # tar -zxvf syslog-ng-2.0.6.tar.gz # cd syslog-ng-2.0.6 # /configure sysconfdir=/etc # make # make install Quá trình cài đặt kết thúc, chúng ta sẽ có được các file cấu hình mẫu nằm trong thư mục contrib Code: [root@localhost syslog-ng-2.0.6]# ls contrib aix-packaging init.d.solaris Makefile.in fedora-packaging ng.conf.RedHat hpux-packaging init.d.SunOS init.d.SuSE syslog-ng.conf.HP-UX... { file( "/var /log/ HOSTS/$HOST/"); }; log { source(s_remote); destination(d_clients); }; Lúc này trên client host bạn có thể tập hợp tất cả các local messages và gửi chúng đến remote server như sau: #sample syslog-ng.conf for a remote client 18 source s_local { internal(); unix-stream("/dev /log" ); file( "/proc/kmsg" log_ prefix("kernel: ")); }; destination d_loghost {tcp("192.168.1.2" port(514));}; log. .. unspecified [application/octet-stream] Saving to: `eventlog-0.2.5.tar.gz' 12 [ ] 312,164 35.3K/s in 8.6s 21:43:29 (35.3 KB/s) - `eventlog-0.2.5.tar.gz' saved [312164] Code: # wget http://www.balabit.com/downloads/files/syslogng/sources/2.0/src/syslog-ng-2.0.6.tar.gz 21:46:37-http://www.balabit.com/downloads/files/syslogng/sources/2.0/src/syslog-ng-2.0.6.tar.gz Resolving www.balabit.com 212.92.18.33